Firewall básico de Azure que filtra el tráfico de red hacia y desde recursos Azure en una VNet. Contiene reglas de entrada y salida que permiten o deniegan el tráfico según IP, puerto y protocolo.
En AZ-104 es fundamental para seguridad de red. Se puede asociar a subredes o interfaces de red individuales. Las reglas tienen prioridad numérica (menor número = mayor prioridad). Equivalente al Security Group de AWS pero con diferencias en el modelo de denegación.